Cette fausse mise à niveau Windows 11 dérobe vos identifiants !

Les pirates informatiques cherchent à tromper les utilisateurs avec une fausse mise à niveau Windows 11 dont l'objectif est d'installer un malware sur votre ordinateur qui va dérober les identifiants enregistrés dans votre navigateur et votre éventuel portefeuille de cryptomonnaie.

Actuellement, la campagne est active et s'appuie sur l'empoisonnement des résultats de recherche sur Internet pour mettre en avant un site web qui est une copie de la page officielle de promotion pour Windows 11, comme celle que l'on retrouve sur le site de Microsoft. Sauf que dans le cas présent, l'utilisateur télécharge un malware et non un utilitaire de mise à niveau vers Windows 11.

Comme on peut le voir sur l'image ci-dessous, le site "windows11-upgrade11[.]com" reprend la même mise en page, les logos, etc... du site de Microsoft. En cliquant sur le bouton "Download now", l'utilisateur télécharge un fichier ISO malveillant.

Fonctionnement du malware Inno Stealer

Les chercheurs en sécurité de chez CloudSEK ont analysé le malware qui se cache dans cette image ISO malveillante. Tout d'abord, il a désormais un petit nom : Inno Stealer, en référence à l'utilisation d'Inno Setup Windows Installer. Au niveau de son code, il n'a pas de similitude avec les autres malwares du même genre. Sur le PC, le malware se met en place grâce au fichier exécutable "Windows 11 setup" et il va rapidement devenir persistant en créant un raccourci dans le dossier "Startup" de la machine.

Plus précisément, le malware va effectuer plusieurs actions sur la machine :

  • Désactiver la sécurité du Registre Windows
  • Ajouter des exceptions dans Windows Defender
  • Supprimer les clichés instantanés
  • Désinstaller les produits de sécurité, notamment Emsisosft et ESET car ces produits peuvent le détecter

Au final, un processus nommé "Windows11InstallationAssistant.scr" tourne sur la machine afin de commencer à voler des informations enregistrées dans les navigateurs, notamment dans Chrome, Edge, Brave, Opera, ou encore Vivaldi. Par ailleurs, il va dérober votre éventuel portefeuille de cryptomonnaie puisqu'il vérifie différents emplacements sur le système.

Les données récoltées par le malware sont exfiltrées vers le serveur "windows-server031.com" et il est intéressant de préciser que le malware s'appuie sur un processus multi-thread pour être plus efficace. Finalement, ce nouveau malware semble efficace et particulièrement abouti.

Malware Inno Stealer

Pour conclure, sachez que la méthode employée par les pirates est loin d'être nouvelle et elle me fait penser à la méthode utilisée il y a quelques mois pour diffuser le malware RedLine. En effet, les pirates s'appuyaient sur le "windows-upgraded[.]com" afin de tromper l'utilisateur et lui faire télécharger le fichier malveillant "Windows11InstallationAssistant.zip".

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3767 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.